一种基于分布式数据挖掘的协同入侵检测系统,利用计算机网络技术和入侵检测技术实现,其特征在于:该系统由控制台模块(3)和客户端模块(2)组成,控制台模块(3)负责为所有的客户端节点提供服务,为各个客户端模块(2)之间的联系和合作提供信息,客户端模块(2)主要完成数据挖掘所需数据的收集、处理和检测结果传输; 客户端模块(2)包括数据收集模块(7)、数据集成模块(9)、常规入侵检测模块(11)、协同入侵检测模块(12)、报警聚类模块(16)、数据挖掘模块(14)、数据传输模块(15)、常规入侵规则库(10)、协同入侵规则库(13)和局部数据库(8); 局部数据库(8)用于存放本节点的网络信息,包括6个字段的信息:协议号,源IP,源端口,目的IP,目的端口和时间;常规入侵规则库(10)用于存放描述常见的单个入侵的规则;协同入侵规则库(13)用于存放描述相互合作的、分布式入侵的规则,包括6个字段的信息:相关性、空间相关度、时间相关度、不可信任IP范围、入侵危害程度和响应策略; 数据收集模块(7)负责收集本节点的网络信息,并存放于局部数据库(8),数据集成模块(9)提取局部数据库(8)的数据进行集成与预处理,选取特征域,提取关键信息,将信息提供给常规入侵检测模块(11)、协同入侵检测模块(12); 常规入侵检测模块(11)负责将数据集成模块(9)提供的信息与常规入侵规则库(10)中的规则进行比较,生成可疑的常规入侵报警信息,传送给数据传输模块(15); 协同入侵检测模块(12)负责将数据集成模块(9)提供的信息与协同入侵规则库(13)中的规则进行比较,生成可疑的协同入侵报警信息,传送给数据传输模块(15); 数据传输模块(15)将可疑报警信息传送给负载最轻的节点中的数据传输模块,并由其传输给负载最轻的节点中报警聚类模块和数据挖掘模块; 负载最轻的节点中的报警聚类模块负责将可疑报警信息进行整合和归并,生成确认报警信息,通过其数据传输模块传送给控制台模块(3); 负载最轻的节点中的数据挖掘模块负责对可疑报警信息进行挖掘处理,生成新的协同入侵规则,通过其数据传输模块传送给控制台模块(3); 控制台模块(3)包括监控模块(5)、规则发布模块(4)和全局响应模块(6);监控模块(5)负责对各客户端模块(2)的监测与控制,找出本轮入侵检测中负载最轻的节点,并将接收到的确认报警信息和新的协同入侵规则分别传送给规则发布模块(4)和全局响应模块(6);规则发布模块(4)负责将新生成的协同入侵规则传送至各个客户端模块;全局响应模块(6)根据确认报警信息对常规入侵和协同入侵进行响应。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术属于计算机安全领域,具体涉及一种基于分布式数据挖掘的协同入侵检测系统。
技术介绍
在电子信息时代,计算机网络渗透到社会生活的各个方面,其安全问题已经成为影响国家独立与安全、经济运行与发展的重大问题。随着网络系统结构的复杂化和大型化,系统的弱点和漏洞趋于分布式。此外,随着黑客入侵水平的提高,入侵行为也不再是单一的行为,而表现出相互协作的特点。单个的入侵检测系统(IDS,Intrusion Detection System)设备(无论是主机型还是网络型)应对分布式、协同式、复杂模式攻击的入侵行为时,就显得十分力单势薄。日益加剧的分布化、协同化的网络攻击行为的典型特点有1)攻击持续时间长,单个攻击行为不明显;2)攻击者范围分布广泛,攻击危害性大;3)攻击成员之间及时交流攻击信息,使攻击时间缩短,攻击手段更加优化。面对这种趋势,现有的安全系统暴露出严重的缺陷。例如,常用的安全系统只能针对独立的入侵行为,而难以防范有组织的协同入侵行为。随着协同入侵的危害性日益严重,构建一种可以防御协同入侵的安全系统是当前的迫切需要。IDS作为一种重要的安全部件,是网络与信息安全防护体系的重要组成部分。IDS首先通过在计算机网络或系统中的若干关键点收集信息并对收集到的信息进行分析,判断网络或系统中是否有违反安全策略的行为和被攻击的迹象,然后根据分析结果采取决策并做出适当的响应。从理论上讲,IDS可以主动地检测到对系统或网络的入侵,并对这些入侵进行记录和响应,这是防火墙、身份识别和认证、加密解密等其他许多安全措施所不能做到的。但是IDS的处理速度一直是影响其性能的一大瓶颈,虽然IDS是直接接入网络的,但如果其检测速度跟不上网络数据的传输速度,那么就会漏掉其中的部分数据包,从而影响安全系统的准确性和有效性。为了提高检测速度,快速地从系统日志、网络流量等大量原始数据中发现检测攻击的知识和规律,我们将数据挖掘技术应用在入侵检测系统中。数据挖掘(DM,Data Mining)就是从大量的、不完全的、有噪声的、模糊的以及随机的数据中提取潜在有用的信息和知识的过程。依照数据采集的地点和数据处理地点的是否相同,数据挖掘分为集中式数据挖掘和分布式数据挖掘。明尼苏达州大学研制出一个基于集中式数据挖掘的入侵检测系统(MINDS),即各个受保护节点的系统日志及网络数据被集中处理。数据挖掘所需的数据源(各个节点的系统日志和网络流量等信息)分布在各个节点上,随着网络的迅猛发展,这些数据量也急速增长,将这些数据集中处理存在着两大弊端一是数据传输占用了大量带宽,二是进行数据挖掘节点的资源有限,难以保证挖掘的实时性。随着受保护节点的增加,系统处理的任务将日趋繁重,降低了系统的可扩展性,同时也不能实现入侵检测的实时性。
技术实现思路
本专利技术针对现有入侵检测的不足以及协同入侵的特点,提出一种基于分布式数据挖掘的协同入侵检测系统,可以快速准确地检测出已知的协同入侵,并防范已知协同入侵的变种及新型的协同入侵。本专利技术提供的一种基于分布式数据挖掘的协同入侵检测系统,利用计算机网络技术和入侵检测技术实现,其特征在于该系统由控制台模块和客户端模块组成,控制台模块负责为所有的客户端节点提供服务,为各个客户端模块之间的联系和合作提供信息,客户端模块主要完成数据挖掘所需数据的收集、处理和检测结果传输;客户端模块包括数据收集模块、数据集成模块、常规入侵检测模块、协同入侵检测模块、报警聚类模块、数据挖掘模块、数据传输模块、常规入侵规则库、协同入侵规则库和局部数据库;局部数据库用于存放本节点的网络信息,包括6个字段的信息协议号,源IP,源端口,目的IP,目的端口和时间;常规入侵规则库用于存放描述常见的单个入侵的规则;协同入侵规则库用于存放描述相互合作的、分布式入侵的规则,包括6个字段的信息相关性、空间相关度、时间相关度、不可信任IP范围、入侵危害程度和响应策略;数据收集模块负责收集本节点的网络信息,并存放于局部数据库,数据集成模块提取局部数据库的数据进行集成与预处理,选取特征域,提取关键信息,将信息提供给常规入侵检测模块、协同入侵检测模块;常规入侵检测模块负责将数据集成模块提供的信息与常规入侵规则库中的规则进行比较,生成可疑的常规入侵报警信息,传送给数据传输模块;协同入侵检测模块负责将数据集成模块提供的信息与协同入侵规则库中的规则进行比较,生成可疑的协同入侵报警信息,传送给数据传输模块;数据传输模块将可疑报警信息传送给负载最轻的节点中的数据传输模块,并由其传输给负载最轻的节点中报警聚类模块和数据挖掘模块;负载最轻的节点中的报警聚类模块负责将可疑报警信息进行整合和归并,生成确认报警信息,通过其数据传输模块传送给控制台模块;负载最轻的节点中的数据挖掘模块负责对可疑报警信息进行挖掘处理,生成新的协同入侵规则,通过其数据传输模块传送给控制台模块;控制台模块包括监控模块、规则发布模块和全局响应模块;监控模块负责对各客户端模块的监测与控制,找出本轮入侵检测中负载最轻的节点,并将接收到的确认报警信息和新的协同入侵规则分别传送给规则发布模块和全局响应模块;规则发布模块负责将新生成的协同入侵规则传送至各个客户端模块;全局响应模块根据确认报警信息对常规入侵和协同入侵进行响应。上述客户端模块还可以包括规则更新模块,它接收规则发布模块发来的新的协同入侵规则,进行分析,确定是否添加至协同入侵规则库;并对协同入侵规则库进行使用频率统计与删除管理。本专利技术的基于分布式数据挖掘的协同入侵检测系统具有以下优点及效果(1)通过数据挖掘将异常检测技术引入系统,检测未知模式的入侵行为传统的误用入侵检测系统是对任何已知攻击的特征进行编码,检测已知的入侵模式。这种系统可以有针对性地高效检测入侵活动,但是对未知的入侵活动或已知入侵活动的变形无能为力。通过将数据挖掘技术应用在入侵检测系统中,可以从网络流量等大量原始数据中发现用于检测未知攻击模式的知识和规律。(2)减少了对网络资源的占用传统的数据挖掘是将分布在各个地方的数据通过网络传送到一个节点上进行集中的处理,这种方式适合客户端节点机数目少的情况;基于分布式数据挖掘所需的数据源就在本地,不需要经过网络传输,减少了对网络资源的占用。(3)实时性由于数据挖掘是分布式的,每个客户端模块只负责处理本地的数据,与传统的集中式的数据挖掘相比具有实时性。(4)可扩展性进行数据挖掘的客户端节点的数目可以按照管理员的要求在监控模块中设定,因此客户端节点的数目不受限制;控制台模块完成接受客户端模块的注册和注销请求的简单功能,不会成为系统可扩展性的瓶颈。(5)动态的负载均衡性数据挖掘会消耗大量的系统资源,为了达到一个动态的负载均衡,在客户端负载最小的节点上对可疑报警信息进行报警聚类和数据挖掘,生存确认报警信息及新的协同入侵规则。(6)规则加入与删除的动态性在每次检测过程中发现的新的协同入侵规则都会通过自动编码加入到各个节点的协同入侵规则库中;并依据一定的策略删除协同入侵规则库中无用的规则,防止入侵规则库的过度膨胀。附图说明图1为基于分布式数据挖掘的协同入侵检测系统的结构示意图;图2为数据挖掘控制台模块和客户端模块的一种具体实施方式的结构示意图;图3为数据挖掘控制台模块和客户端模块的另一种具本文档来自技高网...
【技术保护点】
【技术特征摘要】
【专利技术属性】
技术研发人员:金海,孙建华,韩宗芬,陈浩,程恩,易川江,邹建平,涂旭平,杨志玲,何丽莉,黄瑾,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。